Престъпниците, създали широкоразпространения червей Conficker, са пуснали нова версия на зловредния код, което е сигнал за сериозна промяна в начина на работа на червея.
Новият вариант, наречен Conficker B++, е засечен преди 3 дена от изследователи на SRI International, които публикуваха подробности за новия код на 19 февруари. За неопитно око новият вариант изглежда почти идентичен с предишната версия на червея - Conficker B. Но B++ използва нови техники за сваляне на софтуер, давайки на създателите си повече гъвкавост за нещата, които могат да правят със заразените машини.
Инфектираните с Conficker компютри могат да бъдат използвани за редица зложелателни действия - пращане на спам, прихващане на натискането на клавиши от клавиатурата, стартиране на DoS атаки. Създадената адхок група, наричаща себе си Conficker Cabal, успя да ни предпази от тези събития. Те прихванаха контрола на Conficker чрез разбиване на алгоритъма в софтуера, използван за откриване на една от хилядите пресечни точки в интернет, където той може да търси нов код. Тези точки за „срещи" използват уникални домейн имена като pwulrrog.org, като Conficker Cabal работи здраво, за да ги регистрира и да ги държи далече от ръцете на престъпниците.
Новият вариант B++ използва същия алгоритъм, за да търси „явките", но дава на създателите си и две нови техники, които ги „прескачат" напълно. Това означава, че най-успешната техника на Cabal може да бъде заобиколена.
Conficker бе пренаписан изцяло през декември, когато се появи вариант B. Последната версия B++ включва повече фини промени, твърди Фил Порас, програмен директор в SRI. „Направили са хирургически точни промени", каза той.
Ако погледнем в перспектива: Има 297 подпрограми в Conficker B; 39 нови програми са добавени във варианта B++ и 3 съществуващи подпрограми са били модифицирани, пише в доклада на SRI. B++ подсказва, че „авторите на зловредния код може би търсят нови пътища да избегнат изцяло нуждата от тези срещи в интернет", констатира докладът.
Порас не може да каже откога Conficker B++ „циркулира" в интернет, но за пръв път е уловен на 6 февруари, според учен, използващ псевдонима Jart Armin, работещ за уеб сайта Hostexploit.com, който проследи Conficker.
Въпреки че не се знае дали B++ е създаден в отговор на усилията на групата Cabal, „той прави ботнет атаката по-устойчива и обезсмисля част от работата на Cabal", обяснява Рик Уесън, CEO на Support Intelligence.
Познат и като Downadup, Conficker се разпространи масово, служейки си с разнообразни техники. Той използва опасен бъг в Windows, за да атакува компютри в локалните мрежи, може да се разпространява и чрез USB устройства като камери и системи за съхранение. Всички варианти на Conficker са заразили до момента около 10,5 млн. компютри, твърдят от SRI.
IDG News Service, Сан Франциско
Източник: IDG.BG
